Sujet Précédent Sujet Suivant

Les certificats SSL ne suffisent plus

sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   -  
 Utilisateur anonyme -
Visiblement, il est possible d'espionner les communication chiffrées (HTTPS, email, VOIP, VPN...) sans lever la moindre alerte de certificat SSL.

C'est pas bien joli, tout ça.

https://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus

2 réponses

Réponse 1 / 2
teutates Messages postés 19847 Date d'inscription   Statut Modérateur Dernière intervention   3 588
 
Du coup, je viens de me rendre compte que j'utilise pour un certain site assez connu un certificat périmé depuis 2004 ! Si la date de péremption est passée, on va finir à l'hosto ? Docteur, qu'est ce qu'on risque dans ce cas ?!
0
sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   15 667
 
En principe les certificats dépassé sont automatiquement désactivés.
Et même pour les certificats encore valides, les logiciels sont censés questionner régulièrement des serveurs de révocation.
0
Réponse 2 / 2
Utilisateur anonyme
 
Bonjour,

Merci sebsauvage pour ces informations.

Mais d'après ce que j'ai compris, le problème qui se pose vraiment est au niveau de la confiance que nous donnons à ces autorités, mais en aucun cas la possibilité qu'un pirate (avec comme but de nous voler des informations confidentielles) ait en possession un certificat valide ?

Merci pour les éclaircissements.
????f????????? ; Appelez moi Fahd ;-)
0
sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   15 667
 
Effectivement, combiné à un détournement de trafic réseau (par exemple par DNS poisonning), la corruption d'un CA permettra de se faire passer pour le site d'une banque sans alerte SSL.

Cela permet de faire des attaques MITM (Man in the middle) sans lever d'alerte SSL.
0
Utilisateur anonyme > sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention  
 
Je ne suis pas sûr de comprendre à 100%, mais comment les pirates pourront avoir un certificat SSL valide ?
0
sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   15 667
 
Tu créé un certificat qui ressemble à celui que tu veux imiter (mêmes infos), puis tu t'arrange pour le faire signer par une CA (social engineering, menaces, dessous de table, injonction judiciaire...).
0
Utilisateur anonyme > sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention  
 
Merci ;-)
0

Discussions similaires

https:www.google.fr
retardeur -
retardeur -

2 réponses
Savoir si virus ?
savlulu13 -
bazfile -

2 réponses
Problème bizarre (Erreur SSL)
gibus21250 -
Javelboy -

3 réponses
Télécharger sans cryptage SSL ??
le-paumé -
le-paumé -

8 réponses
Connexion VPN "Forticlient" impossible en partage de connexion
Flutoe -
brupala -

15 réponses